Linux系统中CoreDump的生成与调试
目录
一、CoreDump概述
二、CoreDump文件的生成
1、ulimit 命令生成CoreDump文件
2、/etc/profile 开启CoreDump文件
3、sysctl命令生成CoreDump文件
4、Coredump配置永久生效
三、CoreDump文件的命名
四、CoreDump文件的存储位置
五、CoreDump文件的分析
1、GDB调试工具
2、objdump工具
一、CoreDump概述
Core Dump(核心转储)是指在程序运行时发生严重错误时,操作系统将当前内存中的程序数据和状态写入一个称为核心转储文件的特殊文件中。这个文件包含了程序崩溃时内存的快照,可以帮助开发者定位诊断问题。
产生原因:程序在运行过程中由于各种异常或者bug导致退出。
包含内容:程序运行时内存、寄存器状态、堆栈指针、内存管理信息以及函数调用堆栈信息。
作用:通过工具分析core,可以查看程序异常退出时堆栈调用等信息,快速定位问题
以下是一些与CoreDump相关的要点:
1、何时发生:CoreDump通常发生在程序崩溃时,这可能是由于访问无效的内存、除以零、无限递归等问题引起的。2、核心转储文件:当程序崩溃时,操作系统会创建一个二进制文件,其中包含了崩溃时内存的内容。这个文件通常称为core文件,其文件名可能是core或core.<>,其中<>中的内容可以根据设置来改变,有pid、时间等多种选项,也可叠加3、分析CoreDump:可以使用调试器(GDB)来分析core文件,已确定程序崩溃的原因。调试器可以加载核心文件并查看崩溃时的堆栈、寄存器状态和内存内容等信息。4、调试信息:为了更好地分析core文件,程序在编译时通常需要包含调试信息。在使用GDB进行调试时,调试信息可以提供源代码级别的信息。
二、CoreDump文件的生成
在 Linux 中,默认情况下是不会生成 core dump 文件的,需要手动开启。有以下三种开启CoreDump文件生成的方法:
1、ulimit 命令生成CoreDump文件
ulimit 命令可以用来限制进程的资源使用量,例如文件大小、内存使用量等。通过设置 ulimit 命令的参数,可以开启 core dump 文件的生成。具体步骤如下:
1> 执行 ulimit -c unlimited 命令,将 core dump 文件的大小限制设置为无限制。运行程序,当程序崩溃或异常结束时,core dump 文件会自动生成。2> 执行 ulimit -c 可以查看当前会话是否已经开启CoreDump,若返回值为 0 则未开启不会产生CoreDump文件。3> 执行 ulimit –c [size] 可以来指定生成文件的大小。这里的size的单位是blocks,一般1block=512bytes,size最小需要4才可生成core文件。
2、/etc/profile 开启CoreDump文件
可以通过修改/etc/profile 文件来开启 core dump 文件的生成。具体步骤如下:
#将 core dump 文件的大小限制设置为无限制。
ulimit -c unlimited 3、sysctl命令生成CoreDump文件
sysctl 命令可以用来修改内核参数。通过设置 sysctl 命令的参数,可以开启 core dump 文件的生成。具体步骤如下:
1> 执行命令以生成:
sysctl -w kernel.core_pattern=/tmp/core-%!e(MISSING)-%!s(MISSING)-%!u(MISSING)-%!g(MISSING)-%!p(MISSING)-%!t(MISSING)2> 将 core dump 文件的命名规则设置为
/tmp/core-%!e(MISSING)-%!s(MISSING)-%!u(MISSING)-%!g(MISSING)-%!p(MISSING)-%!t(MISSING)3> 执行 ulimit -c unlimited 命令,将 core dump 文件的大小限制设置为无限制。4> 运行程序,当程序崩溃或异常结束时,core dump 文件会自动生成。
(CoreDump文件的命名规则在下个段落中详细讲述)4、Coredump配置永久生效
/proc/sys/fs/suid_dumpable: 这个节点用于控制setuid程序的Coredump生成行为。它有以下取值:
0:禁止setuid程序生成Coredump文件;
1:只允许root用户获取setuid程序的Coredump文件;
2:允许任何用户获取setuid程序的Coredump文件
修改/etc/sysctl.conf文件
fs.suid_dumpable = 1
kernel.core_pattern = /tmp/core-%e.%p.%t
修改完成后,更新配置(生效)
sysctl -p
注: /etc/sysctl.conf是一个在Linux系统中用于配置内核参数的配置文件。它包含了一系列键值对,用于设置内核参数的值,以优化系统性能和安全性。
/proc/sys/kernel/core_pattern:这节点用于指定Coredump文件的保存路径和文件名格式。它的取值可以是一个文件路径,也可以是一个字符串模板。当Coredump文件生成时,系统会根据这个配置项指定的路径和模板生成Coredump文件
在Linux系统中,如果一个setuid程序崩溃并生成了Coredump文件,那么这个Coredump文件将包含setuid权限执行时的内存数据,这个数据可能包含敏感信息。因此默认情况下,Linux系统不会为setuid程序生成Coredump文件。将fs.suid_dumpable设置为2,则表示可以为setuid程序生成Coredump文件并保存内存数据,这可能会带来安全风险,需要在使用时仔细评估风险和利益。
修改/etc/security/limits.conf 文件
允许系统中的所有用户生成无限制大小的coredump文件, 对于某些操作系统或发行版,可能具有不同的文件名或位置以及格式
* soft core unlimited
* hard core unlimited
三、CoreDump文件的命名
通过修改kernel的参数,可以指定内核所生成的coredump文件的文件名。
例如,使用下面的命令使kernel生成名字为core.filename.pid格式的文件。
echo“/data/coredump/core.%e.%p” >/proc/sys/kernel/core_pattern
这样配置后,产生的core文件中将带有崩溃的程序名、以及它的进程ID。上面的%e和%p会被替换成程序文件名以及进程ID。
默认状况下系统生成的core dump文件不带其余拓展名,所有命名为core。此时新生成文件会覆盖掉旧的core文件;
core dump文件的参数说明bash:
%% 单个%字符
%p dump进程的进程ID
%u dump进程的用户ID
%g dump进程的组ID
%s 致使core dump的信号
%t core dump 的时间
%h 主机名
%e 程序文件名
举例:
设置生成500M大小的core文件至指定路径下,且规定了生成文件的名称规则
查验开启coredump文件生成功能是否成功:
四、CoreDump文件的存储位置
core文件默认的存储位置与对应的可执行程序在同一目录下,文件名是core.xxx,可以通过下面的命令看到core文件的存贮位置:
cat /proc/sys/kernel/core_pattern
缺省值是 core
这里是指在进程当前工作目录的下创建。通常与程序在相同的路径下。
但如果程序中调用了chdir函数,则有可能改变了当前工作目录。这时core文件创建在chdir指定的路径下。有好多程序崩溃了,我们却找不到core文件放在什么位置。和chdir函数就有关系。当然程序崩溃了不一定都产生 core文件。
更改CoreDump文件的存储位置可以使用下面的命令:
echo “/path/path/…/core”> /pro/sys/kernel/core_pattern
这里引号中更改为自己想要存储文件的路径即可,但是注意,这里当前用户必须要有对 /pro/sys/kernel/core_pattern 的写权限。
五、CoreDump文件的分析
1、GDB调试工具
使用 gdb 分析 core dump 文件的步骤如下:
1> 打开 core dump 文件:gdb2> 查看程序崩溃时的堆栈信息:(gdb) bt3> 查看程序崩溃时的变量值:(gdb) p4> 查看程序崩溃时的寄存器状态:(gdb) info registers5> 查看程序崩溃时的汇编代码:(gdb) disassemble
举例:
这里手动在代码中写入一个可引起崩溃的异常,随后运行程序,程序异常崩溃生成CoreDump文件
随后对CoreDump文件进行gdb调试,可看到如图定位到异常代码段
2、objdump工具
objdump 是一个反汇编工具,可以将可执行文件和共享库文件反汇编成汇编代码。它可以用于分析程序崩溃时的汇编代码,找出问题所在。
使用 objdump 分析 core dump 文件的步骤如下:
1> 查看 core dump 文件中的程序代码段:objdump -d -j .text2> 查看 core dump 文件中的程序数据段:objdump -s -j .data3> 查看 core dump 文件中的程序符号表:objdump -t